Es gibt viele externe Tools, über die man verschiedene Aspekte einer Website testen kann. Dies gilt für Sicherheitsaspekte genauso wie für Fragen der Performance oder SEO. Jeder hat da so seine Tools und unsere möchte ich heute vorstellen. Ich versuche, dass es nicht nur eine reine Linkliste ist („Die 10 besten Tools für XYZ“). Und natürlich hat die Liste keinen Anspruch auf Vollständigkeit und ich freue mich auf weitere Ideen und Empfehlungen in den Kommentaren.
Sicherheit
Auf Tools, die Websites von extern scannen und auf Sicherheit prüfen, sollte man sich in der Regel nicht verlassen. Die Aussagen über die Sicherheit der Seite können nie eindeutig sein, denn es wäre ja fatal, wenn jeder zu beliebigen Seiten einen detaillierten Bericht einsehen könnte. Genauso haben die Anbieter von außen auch nur beschränkten Zugriff und können deswegen gar keine umfassende Prüfung vornehmen.
Trotzdem gibt es diverse Tools, die einen bei Sicherheitsfragen zu Websites unterstützen können. Ein wenig bekanntes Tool, dass ich aber sehr gerne einsetze ist Siwecos. Siwecos habe ich vor Kurzem detailliert in einem eigenen Beitrag vorgestellt. Das Tool scannt die Seite auf diverse sicherheitsrelevante Themen und gibt dem Website-Besitzer (nach Identifikation) einen detaillierten Bericht aus.
Häufig genannt wird auch der Scanner von Sucuri, der manchmal sogar Schadcode auf Seiten erkennen kann. Der Scanner ist in meinen Augen trotzdem nicht sonderlich hilfreich, da eine zuverlässige Überprüfung auf Malware / Schadcode niemals von außen stattfinden kann. Ganz nett ist die Möglichkeit, die Eintragung der Website auf diversen Blacklists zu überprüfen.
Um die Qualität der SSL-Konfiguration zu testen, nehme ich gerne den Test von Qualys SSL Labs. Dieser Test prüft das installierte SSL-Zertifikat (z.B. auf Gültigkeit und eine funktionierende Zertifikatskette), aber auch die SSL-Konfiguration des Servers. Es ist dann eher am Hoster, etwas an Konfigurationsmißständen diesbezüglich zu ändern, jedoch kann man damit immerhin testen, ob der eigene Hoster seine SSL-Konfiguration im Griff hat.
Das Thema E-Mail ist eher schwierig. Die Spam-Massen, die durchs Netz fluten, machen es immer schwieriger, E-Mails zuverlässig zuzustellen, da die Spam-Abwehr immer härter durchgreift und dadurch auch Mails ohne Spam-Hintergrund gerne mal weggefiltert oder geblockt werden. Um hier eine erste Analyse vorzunehmen, nutze ich gerne zwei Tools. Zum einen einen Blacklist-Scanner, der mir anzeigt, ob der Server (die IP, die Domain) schon auf Mail-Blacklists verzeichnet ist, zum anderen ein Tool, mit dem ich die Spam-Haftigkeit einer E-Mail überprüfen kann, um die Ausgestaltung der Mail und ggf. die Mailserver-Konfiguration optimieren kann.
Beim Blacklist-Tool von „MX Toolbox“ gibt man Domain oder IP ein und diese wird dann gegen bekannte Mail-Blacklists geprüft. Selbst ein komplett „grünes“ Ergebnis schützt nicht vor Spam-Problemen, denn natürlich können auch einzelne Hoster oder ISPs spezifische Domains oder IPs zusätzlich individuell blocken. Im Regelfall bekommt man aber einen grundsätzlichen Eindruck davon, ob hier ein generelles („großes“) Problem vorliegt oder nicht.
Zur Überprüfung der Mail-Konfiguration und ggf. des Mail-Inhalts (z.B. bei einem Newsletter) nutze ich gerne mail-tester.com. Man schickt dort eine E-Mail an eine zufällige Einmal-Adresse und kann danach das Ergebnis der Analyse betrachten. Das Tool analysiert sowohl den Inhalt der E-Mail, als auch die Konfiguration des Mailservers (SPF- und DKIM-Einträge etc.).
Performance
Zur Performance-Analyse gibt es unendlich viele Tools, nicht zuletzt auch den PageSpeed-Test von Google. Mir geht es heute aber ausschließlich um Webpagetest, denn ich halte dies für eines der sinnvollsten Tools, um tief in die Analyse von Performance-Problemen einzusteigen. Die Tests sind sehr detailliert mit diversen Grafiken und Charts. Es gibt zwar für die Teilbereiche Noten (amerikanisches System von A bis F), viel wichtiger sind aber die Detailaussagen zu Ladezeiten, Datenmengen und die Wasserfall-Diagramme zu den geladenen Dateien.
Sonstige Helferlein
Und dann gibt es noch eine ganze Reihe von Tools, die wir zur Analyse von Website-Problemen einsetzen, die nicht so richtig einer der obigen Kategorien zuzuordnen sind.
Ein absolutes Muss dabei ist der „Jitbit SSL-Check„, der (im Gegensatz zum oben genannten SSL-Test) nicht die Qualität der SSL-Konfiguration testet, sondern überprüft, ob auf einer Website alle Assets auch korrekt per HTTPS geladen werden. Dazu wird die gesamte Website inkl. Unterseiten gecrawlt. Die Ergebnisse dieses Checks waren schon vielfach Gold wert, um „Mixed Content“-Fehler auf Unterseiten zu finden.
Ebenso regelmäßig im Einsatz ist der DNS-Checker. Wann immer eine Domain umgezogen wird, ein Server gewechselt wird oder eine manuelle DNS-Anpassung vorgenommen wird, ist das unser Tool der Wahl, um festzustellen, wie weit das weltweite DNS mit der Umstellung. Nach Eingabe einer Domain wird der zugehörige DNS-Eintrag des angegebenen Typs (A, AAAA, MX, …) von diversen Servern in der Welt geprüft, so dass man einen guten Überblick darüber gewinnt, wo in der Welt die DNS-Umstellung ggf. noch hakt.
Kennt jemand sonst noch das Problem, dass die Website sich manchmal in einen Weiterleitungs-Loop verabschiedet und man keine Ahnung hat, was gerade passiert? „Too many redirects“ sagt dann der Browser, aber ganz klar, wer warum wieder wohin weiterleitet hat man nicht. Dann hilft der Redirect-Check, der die einzelnen Schritte aufzeichnet und ausgibt. So kann man schonmal herausfinden, dass sich die Website im Kreise dreht und von www auf nicht-www auf www auf nicht-www usw. weiterleitet.
Und wenns ans Eingemachte geht, dann muss manchmal schonmal ein regulärer Ausdruck ran (Regular Expression). Ein absolut mächtiges Werkzeug, aber nicht immer einfach zusammenzusetzen. Gerne braucht man mehrere Versuche bis der Ausdruck passend ist und alle gewünschten Textkomponenten erkennt. Damit man den Ausdruck in aller Ruhe vorab ausprobieren kann gibt es Online-Tester für reguläre Ausdrücke wie regex101.com. Hier kann man nach Lust und Laune reguläre Ausdrücke zusammenbauen, Testdaten eingeben und den Ausdruck darauf prüfen lassen und solange basteln, bis man sich sicher ist, dass der Ausdruck passt.
Zu guter Letzt noch der Hinweis auf einen Online-Rechner, der mir am Herzen liegt. Der „Website Carbon Calculator“ berechnet, wieviel CO2 der Aufruf einer bestimmten Website verursacht. Das mag sich im ersten Augenblick erstmal komisch anhören, aber das Internet ist einer der größten Energie-Schleudern unserer Erde und jede einzelne Website gehört dazu. Deswegen sollte es jedem ein Anliegen sein, den CO2-Fußabdruck der eigenen Website so klein wie möglich zu halten. Deswegen ist eine Überprüfung mit diesem Online-Tool eine gute Möglichkeit, die Notwendigkeit von Maßnahmen an der eigenen Website zu erkennen und dann auch hoffentlich umzusetzen.
Fazit
Es gibt sicherlich noch viel mehr solcher Tools und externer Online-Helferlein, die man im Arbeitsalltag für die verschiedensten Zwecke nutzt? Meine Liste ist sicherlich nicht vollständig, vielleicht habe ich ja das entscheidende Tool vergessen oder vielleicht kenne ich es auch noch gar nicht? Ich freue mich auf Rückmeldungen zu weiteren Online-Helfern für den Webworker-Alltag.